适用于 Windows 的 Chronicle 转发器可执行文件
本文档介绍了如何在 Microsoft Windows 上安装和配置 Chronicle 转发器。
自定义配置文件
根据您在部署之前提交的信息,Google Cloud 会为您 Chronicle 转发器提供一个可执行文件和一个可选的配置文件。可执行文件只能在运行配置文件的主机上运行。每个可执行文件都包含您网络上 Chronicle 转发器实例的配置。如果您需要更改配置,请与 Chronicle 支持团队联系。
系统要求
下面是一些常规建议。如需获取适用于您的系统的建议,请与 Chronicle 支持团队联系。
Windows Server 版本:以下版本的 Microsoft Windows Server 支持 Chronicle 转发器:
2008 R2
2012 R2
2016
RAM:收集的每种数据类型各 1.5 GB。例如,端点检测和响应 (EDR)、DNS 和 DHCP 都是单独的数据类型。您需要 4.5 GB 的 RAM 才能收集所有这三个指标的数据。
CPU:2 个 CPU 足以处理每秒不到 10,000 个事件 (EPS)(所有数据类型的总数)。如果您预期转发的 EPS 超过 10000,则需要 4 到 6 个 CPU。
磁盘:无论 Chronicle 转发器处理多少数据,100 MB 的磁盘空间都足够了。默认情况下,Chronicle 转发器不会缓冲到磁盘。您可以通过在配置文件中添加
write_to_disk_buffer_enabled和write_to_disk_dir_path参数来缓冲磁盘。例如:
- <collector>: common: ... write_to_disk_buffer_enabled: true write_to_disk_dir_path: <var>your_path</var> ...
Google IP 地址范围
设置 Chronicle 转发器配置(例如设置防火墙配置)时,您可能需要打开 IP 地址范围。Google 无法提供具体的 IP 地址列表。不过,您可以获取 Google IP 地址范围。
验证防火墙配置
如果您在 Chronicle 转发器容器和互联网之间设有防火墙或经过身份验证的代理,则它们需要规则以允许访问以下 Google Cloud 主机:
| 连接类型 | 目标 | 端口 |
| TCP | malachiteingestion-pa.googleapis.com | 443 |
| TCP | asia-northeast1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | asia-south1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | asia-southeast1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | australia-southeast1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west2-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west3-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west6-malachiteingestion-pa.googleapis.com | 443 |
| TCP | me-central2-malachiteingestion-pa.googleapis.com | 443 |
| TCP | me-west1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | northamerica-northeast2-malachiteingestion-pa.googleapis.com | 443 |
| TCP | accounts.google.com | 443 |
| TCP | gcr.io | 443 |
| TCP | oauth2.googleapis.com | 443 |
| TCP | storage.googleapis.com | 443 |
您可以按照以下步骤检查与 Google Cloud 的网络连接:
以管理员权限启动 Windows PowerShell(点击开始,输入
PowerShell,右键点击 Windows PowerShell,然后点击以管理员身份运行)。运行以下命令。
TcpTestSucceeded应返回 true。C:\> test-netconnection <host> -port <port>例如:
C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443 ComputerName : malchiteingestion-pa.googleapis.com RemoteAddress : 198.51.100.202 RemotePort : 443 InterfaceAlias : Ethernet SourceAddress : 10.168.0.2 TcpTestSucceeded : True
您还可以使用 Chronicle 转发器检查网络连接:
以管理员权限启动命令提示符(点击开始,输入
Command Prompt,右键点击命令提示符,然后点击以管理员身份运行)。如需验证网络连接,请使用
-test选项运行 Chronicle 转发器。C:\> .\chronicle_forwarder.exe -test Verify network connection succeeded!
在 Windows 上安装 Chronicle 转发器
在 Windows 上,需要将 Chronicle 转发器可执行文件作为服务进行安装。
将
chronicle_forwarder.exe文件和配置文件复制到工作目录。以管理员权限启动命令提示符(点击开始,输入
Command Prompt,右键点击命令提示符,然后点击以管理员身份运行)。如需安装该服务,请转到您在第 1 步中创建的工作目录并运行以下命令:
C:\> .\chronicle_forwarder.exe -install -config FILE_NAME将
FILE_NAME替换为提供给您的配置文件的名称。该服务将安装到
C:\Windows\system32\ChronicleForwarder中。如需启动服务,请运行以下命令:
C:\> sc.exe start chronicle_forwarder
验证 Chronicle 转发器是否正在运行
Chronicle 转发器应在端口 443 上打开网络连接,您的数据应该会在几分钟内显示在 Chronicle 网页界面中。
您可以使用以下任一方法验证 Chronicle 转发器是否正在运行:
任务管理器:依次前往进程标签页 > 后台进程 > chronicle_forwarder。
资源监控器:在网络标签页上,
chronicle_forwarder.exe应用应列在网络活动(每当chronicle_forwarder.exe应用连接到 Google Cloud 时)、TCP 连接和“监听端口”下。
查看转发器日志
Chronicle 转发器日志文件存储在 C:\Windows\Temp 文件夹中。日志文件以 chronicle_forwarder.exe.win-forwarder 开头。这些日志文件提供各种信息,包括转发器何时启动以及它开始向 Google Cloud 发送数据的时间。
卸载 Chronicle 转发器
如需卸载 Chronicle 转发器服务,请完成以下步骤:
在管理员模式下打开命令提示符。
停止 Chronicle 转发器服务:
SERVICE_NAME: chronicle_forwarder TYPE : 10 WIN32_OWN_PROCESS STATE : 4 RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0转到
C:\Windows\system32\ChronicleForwarder目录并卸载 Chronicle 转发器服务:C:\> .\chronicle_forwarder.exe -uninstall
升级 Chronicle 转发器
如需在继续使用当前配置文件的同时升级 Chronicle 转发器,请完成以下步骤:
在管理员模式下打开命令提示符。
将配置文件从
C:\Windows\system32\ChronicleForwarder目录复制到另一个目录。停止 Chronicle 转发器:
C:\> sc.exe stop chronicle_forwarder卸载 Chronicle 转发器服务和应用:
C:\> .\chronicle_forwarder.exe --uninstall删除
C:\windows\system32\ChronicleForwarder目录中的所有文件。将新的
chronicle_forwarder.exe应用和原始配置文件复制到工作目录。从工作目录运行以下命令:
C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou启动服务:
C:\ sc.exe start chronicle_forwarder
收集 Splunk 数据
与 Chronicle 支持团队联系,更新您的 Chronicle 转发器配置文件,以将 Splunk 数据转发到 Google Cloud。
收集 Syslog 数据
Chronicle 转发器可以作为 Syslog 服务器运行,这意味着您可以将任何支持通过 TCP 或 UDP 连接发送 Syslog 数据的设备或服务器配置为将其数据转发到 Chronicle 转发器。您可以准确控制设备或服务器向 Chronicle 转发器发送哪些数据,然后 Chronicle 转发器可将数据转发到 Google Cloud。
Chronicle 转发器配置文件指定了针对每种转发数据要监控的端口(例如端口 10514)。默认情况下,Chronicle 转发器接受 TCP 和 UDP 连接。与 Chronicle 支持团队联系,更新您的 Chronicle 转发器配置文件以支持 syslog。
切换数据压缩
日志压缩可以降低将日志传输到 Chronicle 时的网络带宽消耗。但是,压缩可能会导致 CPU 使用率增加。 CPU 使用率和带宽之间的权衡取决于许多因素,包括日志数据的类型、数据的可压缩性、运行转发器的主机上 CPU 周期的可用性,以及减少网络带宽消耗的需求。
例如,基于文本的日志可以很好地压缩,可以在降低 CPU 使用率的情况下显著节省带宽。但是,原始数据包的加密载荷不能很好地压缩,并且会产生更高的 CPU 使用率。
由于转发器提取的大多数日志类型都高效压缩,因此默认启用日志压缩以减少带宽消耗。但是,如果增加的 CPU 使用率超过了节省带宽带来的益处,您可以通过在 Chronicle 转发器配置文件中将 compression 字段设置为 false 来停用压缩功能,如以下示例所示:
compression: false
url: malachiteingestion-pa.googleapis.com:443
identity:
identity:
collector_id: 10479925-878c-11e7-9421-10604b7abba1
customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
secret_key: |
{
"type": "service_account",
...
为 syslog 配置启用 TLS
您可以为与 Chronicle 转发器的 syslog 连接启用传输层安全协议 (TLS)。在 Chronicle 转发器配置文件中,指定证书和证书密钥的位置,如以下示例所示:
| 证书 | C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem |
| certificate_key | C:/opt/chronicle/external/certs/forwarder.key |
根据显示的示例,Chronicle 转发器配置将按如下方式修改:
collectors:
- syslog:
common:
enabled: true
data_type: WINDOWS_DNS
data_hint:
batch_n_seconds: 10
batch_n_bytes: 1048576
tcp_address: 0.0.0.0:10515
connection_timeout_sec: 60
certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"
您可以在配置目录下创建证书目录,并将证书文件存储在该目录下。
收集数据包数据
在 Windows 系统上,Chronicle 转发器可以使用 Npcap 直接从网络接口捕获数据包。
捕获数据包并将其发送到 Google Cloud,而不是日志条目。仅从本地接口完成捕获。
请与 Chronicle 支持团队联系,更新您的 Chronicle 转发器配置文件以支持数据包捕获。
如需运行数据包捕获 (PCAP) 转发器,您需要以下各项:
在 Microsoft Windows 主机上安装 Npcap。
向 Chronicle 转发器授予监控网络接口的 root 权限或管理员权限。
无需命令行选项。
在安装 Npcap 时,启用 WinPcap 兼容模式。
为了配置 PCAP 转发器,Google Cloud 需要用于捕获数据包的接口的 GUID。在计划安装 Chronicle 转发器的机器(服务器或正在 span 端口监听的机器)上运行 getmac.exe,并将输出发送到 Chronicle。
或者,您可以修改配置文件。找到 PCAP 部分,将接口旁边显示的 GUID 值替换为运行 getmac.exe 时显示的 GUID。
例如,以下是原始 PCAP 部分:
common:
enabled: true
data_type: PCAP_DNS
batch_n_seconds: 10
batch_n_bytes: 1048576
interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
bpf: udp port 53
以下是运行 getmac.exe 的输出:
C:\>getmac.exe
Physical Address Transport Name
===========================================================================
A4-73-9F-ED-E1-82 \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}
最后,下面是修订后的 PCAP 部分以及新的 GUID:
- pcap:
common:
enabled: true
data_type: PCAP_DNS
batch_n_seconds: 10
batch_n_bytes: 1048576
interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
bpf: udp port 53
收集 WebProxy 数据
Chronicle 转发器可以使用 Npcap 直接从网络接口捕获 WebProxy 数据并将其发送到 Google Cloud。
如需为您的系统启用 WebProxy 数据捕获功能,请与 Chronicle 支持团队联系。
在运行 WebProxy 转发器之前,请执行以下操作:
在 Microsoft Windows 主机上安装 Npcap。在安装过程中启用 WinPcap 兼容模式。
向 Chronicle 转发器授予 root 权限或管理员权限,以监控网络接口。
为了配置 WebProxy 转发器,Google Cloud 需要获取用于捕获 WebProxy 数据包的接口的 GUID。
在要安装 Chronicle 转发器的机器上运行
getmac.exe,并将输出发送到 Chronicle。或者,您可以修改配置文件。找到 WebProxy 部分,并将界面旁边显示的 GUID 替换为运行getmac.exe后显示的 GUID。按如下方式修改 Chronicle 转发器配置 (
FORWARDER_NAME.conf) 文件:- webproxy: common: enabled : true data_type: <Your LogType> batch_n_seconds: 10 batch_n_bytes: 1048576 interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734} bpf: tcp and dst port 80